Вирус управляет курсором как вылечить
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их – это может повредить вашей системе.
Если у вас похожая проблема – создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл – Выполнить скрипт):
Код:
begin
QuarantineFile(‘C:Program FilesCommon FilesAppDownloads{E80CAACD-A49B-42F0-A7E3-C14D42311E60}.exe’,”);
QuarantineFile(‘C:Program FilesCommon FilesAppDownloads{D9C47A9F-B84E-4241-9E97-FEABE663B618}.exe’,”);
QuarantineFile(‘C:Program FilesCommon FilesAppDownloads{C683C964-EBB1-4CCB-8B4D-1021CF3CA44F}.exe’,”);
QuarantineFile(‘C:Program FilesCommon FilesAppDownloads{2C879CE5-BC76-4207-A227-DAD6F194D79E}.exe’,”);
QuarantineFile(‘C:UsersadminAppDataRoamingBrowsersexe.erolpxei.bat’,”);
QuarantineFile(‘C:UsersadminAppDataLocalMicrosoftExtensionssafebrowser.exe’,”);
QuarantineFile(‘C:UsersadminAppDataLocalMicrosoftExtensionsextsetup.exe’,”);
DeleteFile(‘C:ProgramDataKRB Updater Utilitykrbupdater-utility.exe’,’32’);
DeleteFile(‘C:UsersadminAppDataLocalMicrosoftExtensionsextsetup.exe’,’32’);
DeleteFile(‘C:UsersadminAppDataLocalMicrosoftExtensionssafebrowser.exe’,’32’);
DeleteFile(‘C:UsersadminAppDataRoamingBrowsersexe.erolpxei.bat’,’32’);
DeleteFile(‘C:WindowsTasksAmiUpdXp.job’,’32’);
DeleteFile(‘C:WindowsTasksDealply.job’,’32’);
DeleteFile(‘C:Windowssystem32TasksAmiUpdXp’,’32’);
DeleteFile(‘C:Windowssystem32TasksDealPlyUpdate’,’32’);
DeleteFile(‘C:Windowssystem32Tasksextsetup’,’32’);
DeleteFile(‘C:Windowssystem32TasksKRB Updater Utility’,’32’);
DeleteFile(‘C:Windowssystem32TasksMicrosoftWindowsextsetup’,’32’);
DeleteFile(‘C:Windowssystem32TasksPCDEventLauncher’,’32’);
DeleteFile(‘C:Windowssystem32TasksSafebrowser’,’32’);
DeleteFile(‘C:Windowssystem32Tasks{2C879CE5-BC76-4207-A227-DAD6F194D79E}’,’32’);
DeleteFile(‘C:Program FilesCommon FilesAppDownloads{2C879CE5-BC76-4207-A227-DAD6F194D79E}.exe’,’32’);
DeleteFile(‘C:Windowssystem32Tasks{82E6EC69-66AB-480F-A9EA-DA7115D41147}’,’32’);
DeleteFile(‘C:Windowssystem32Tasks{C683C964-EBB1-4CCB-8B4D-1021CF3CA44F}’,’32’);
DeleteFile(‘C:Windowssystem32Tasks{D9C47A9F-B84E-4241-9E97-FEABE663B618}’,’32’);
DeleteFile(‘C:Windowssystem32Tasks{E80CAACD-A49B-42F0-A7E3-C14D42311E60}’,’32’);
DeleteFile(‘C:Program FilesCommon FilesAppDownloads{C683C964-EBB1-4CCB-8B4D-1021CF3CA44F}.exe’,’32’);
DeleteFile(‘C:Program FilesCommon FilesAppDownloads{D9C47A9F-B84E-4241-9E97-FEABE663B618}.exe’,’32’);
DeleteFile(‘C:Program FilesCommon FilesAppDownloads{E80CAACD-A49B-42F0-A7E3-C14D42311E60}.exe’,’32’);
ExecuteSysClean;
RebootWindows(true);
end.Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+’quarantine.zip’);
end.Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(
virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку “Scan” и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:AdwCleanerAdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Источник
#1
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 04 Октябрь 2016 – 22:58
не могу удалить вирус міняє курсори в папкі C:WindowsCursors на семеркі і на десяткі не находиться антивирусами но заражає .EXE файли так как заражено 5 компов пятий недавно через флешку там була программа отчетности роспакована заглючив explorer.exe перезагрузив себе и все курсори поміняні, авторанов на флешкі нема картинку прикрепляю.
#2
Dr.Robot
Dr.Robot
- Helpers
- 2 771 Сообщений:
Poster
Отправлено 04 Октябрь 2016 – 22:58
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ – сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
– попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
– детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
– дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
– лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
– переустанавливать операционную систему;
– менять расширение у зашифрованных файлов;
– очищать папки с временными файлами, а также историю браузера;
– использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из “Аптечки сисадмина” Dr. Web;
– использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
– прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба – это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как “не открываются сайты”, в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа “Содержание сайта заблокировано” и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>”%userprofile%ipc.log” и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,”%userprofile%ipc.log” и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
IMAX_3D
IMAX_3D
- Posters
- 253 Сообщений:
Member
Отправлено 04 Октябрь 2016 – 23:17
roman02,
1) Проведите полную проверку системы(выборочная проверка – все галочки + добавьте всё диски) в безопасном режиме.
2) Проверьте объекты автозагрузки на наличие “странных”.
3) В обычном режиме работы можно посмотреть в диспетчере задач наличие процессов со “странными именами” и подобными описаниями. Если в свойствах объекта версия 0 и непонятный/отсутствующий разработчик – откройте расположение файла и загрузите его на virustotal.com.
4) Можно попробовать найти процесс при помощи Comodo KillSwitch – вирусные процессы – красный, неизвестные – серый. Точно так же на вирус тотал и в случае обнаружения – отправить на анализ в лабораторию https://vms.drweb.ru/sendvirus/?lng=ru
#4
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 05 Октябрь 2016 – 00:58
лог в безопасном режиме. Кстати в безопасном режиме курсори в норме
Прикрепленные файлы:
cureit.zip 1,34Мб
2 Скачано раз
Сообщение было изменено roman02: 05 Октябрь 2016 – 01:00
#5
RomaNNN
RomaNNN
- Dr.Web Staff
- 5 931 Сообщений:
Ковальски
Отправлено 05 Октябрь 2016 – 01:02
roman02, делайте все логи по правилам.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#6
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 05 Октябрь 2016 – 01:10
roman02, делайте все логи по правилам.
простите но вверху попросили лог полной проверки в безопасном режиме эсли я правильно понял
#7
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 05 Октябрь 2016 – 01:23
все логи. в логе MYR-MAV_Roman_041016_223857.zip Users в безопасном режиме
Сообщение было изменено roman02: 05 Октябрь 2016 – 01:27
#8
IMAX_3D
IMAX_3D
- Posters
- 253 Сообщений:
Member
Отправлено 05 Октябрь 2016 – 19:24
Не эксперт по хайджеку, но мне эта строчка кажется странной O4 – Global Startup: Watch.lnk = C:Program Files (x86)MUSTEK 1248UBDriverWATCH.exe
Попробуйте запустить cmd от администратора и выполнить sfc /scannow. Пришлите результат
#9
Dmitry_rus
Dmitry_rus
- Helpers
- 3 037 Сообщений:
Guru
Отправлено 05 Октябрь 2016 – 19:35
Ничего странного. ПО для одноименного сканера.
#10
sergeyko
sergeyko
- Dr.Web Staff
- 3 883 Сообщений:
Guru
Отправлено 05 Октябрь 2016 – 19:41
в безопасном режиме.
А это зачем?
Sergey Komarov
R&D www.drweb.com
#11
IMAX_3D
IMAX_3D
- Posters
- 253 Сообщений:
Member
Отправлено 05 Октябрь 2016 – 19:47
в безопасном режиме.
А это зачем?
На случай работы руткитов… Так или иначе всегда есть вероятность, что не смотря на “возможность обнаружения” может остаться незамеченным.
Лично моё мнение. Всяко оно не ухудшает положения.
Сообщение было изменено IMAX_3D: 05 Октябрь 2016 – 19:48
#12
sergeyko
sergeyko
- Dr.Web Staff
- 3 883 Сообщений:
Guru
Отправлено 05 Октябрь 2016 – 20:02
Лично моё мнение
Ошибочное.
Всяко оно не ухудшает положения.
Ухудшает. Сейчас нет никакого смысла в сканировании в безопасном режиме. Это архаизм, не надо советовать этого делать.
Сообщение было изменено sergeyko: 05 Октябрь 2016 – 20:02
Sergey Komarov
R&D www.drweb.com
#13
IMAX_3D
IMAX_3D
- Posters
- 253 Сообщений:
Member
Отправлено 05 Октябрь 2016 – 20:04
sergeyko, можно поинтересоваться по какой причине? Я просто помню времена в которых для достоверной проверки требовался безопасный режим, собственно в том числе по этой причине некоторые вирусы блокировали его.
#14
Dmitry_rus
Dmitry_rus
- Helpers
- 3 037 Сообщений:
Guru
Отправлено 05 Октябрь 2016 – 20:12
Ну, уважаемый sergeyko дополнит, если сочтет необходимым, а я вставлю свои скромные 5 копеек…
Требование/рекомендация сканирования в безопасном режиме устарела много лет назад. Сейчас сканер использует механизмы, позволяющие эффективно проводить проверку и в нормальном режиме. Не скажу за все сканеры, но CureIt – точно.
#15
IMAX_3D
IMAX_3D
- Posters
- 253 Сообщений:
Member
Отправлено 05 Октябрь 2016 – 20:37
Dmitry_rus, но все же существует доля вероятности, что в безопасном режиме могут быть более эффективные результаты
#16
sergeyko
sergeyko
- Dr.Web Staff
- 3 883 Сообщений:
Guru
Отправлено 05 Октябрь 2016 – 22:03
Dmitry_rus, но все же существует доля вероятности, что в безопасном режиме могут быть более эффективные результаты
Нет, вообще говоря. И уж тем более нет в случае с этой темой, где курсор меняется. Эксперимент явно это подтвердил.
Sergey Komarov
R&D www.drweb.com
#17
IlyaS
IlyaS
- Posters
- 2 908 Сообщений:
Massive Poster
Отправлено 05 Октябрь 2016 – 23:19
Хм, например, stuxnet хоть в опасном, хоть в безопасном режиме не увидит, только лайв диск.
#18
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 06 Октябрь 2016 – 11:16
Хм, например, stuxnet хоть в опасном, хоть в безопасном режиме не увидит, только лайв диск.
Я проверял результат нулевой
#19
Dmitry_rus
Dmitry_rus
- Helpers
- 3 037 Сообщений:
Guru
Отправлено 06 Октябрь 2016 – 11:16
roman02, логи в обычном режиме будут, или как? 
Если проблема уже решена – то закрываем тему…
#20
roman02
roman02
- Posters
- 29 Сообщений:
Newbie
Отправлено 06 Октябрь 2016 – 11:27
Dmitry_rus, но все же существует доля вероятности, что в безопасном режиме могут быть более эффективные результаты
В безопасном режиме курсори в норме. То шо просили просканировать драйвер сканера до нево все так било
Источник
Aydei
Регистрация:
8 окт 2011
Сообщения:
119
Если более менее серьезно рассуждать, возможно ли такое вообще? Попрошу без каламбура.
Последнее редактирование: 8 авг 2012
Bato-San
Чеширский волк-киборг
Регистрация:
24 июн 2010
Сообщения:
14.198
Aydei, Возможно. И не такое возможно. При должном старании и разгильдяйстве.
У тебя вообще хоть что то работает нормально ? Форматирование винта можно произвести посредством стандартного установщика винды. Он сам это захочет сделать. Разреши ему полное форматирование и всё.P/S. Мышь воткни в касперский – на проверку.
Bato-San
Чеширский волк-киборг
Регистрация:
24 июн 2010
Сообщения:
14.198
Последнее редактирование: 8 авг 2012
Совет мой был совершенно серьёзен – узнать что это за зараза, а не размышлять какая она, и может ли существовать.
Теоретически, сделать вирус который будет распространяться через такие мышки видимо можно, только сомневаюсь я, чтобы авторы при этом не сумели бы сделать так, чтобы он не палился невооружённым глазом.
Последнее редактирование: 8 авг 2012
Bato-San
Чеширский волк-киборг
Регистрация:
24 июн 2010
Сообщения:
14.198
Наблюдаются 3 проблемы:
1. Заражение вирусом из игры (теоретически) с изменением HOSTS на одном ноутбуке
2. Нестандартное поведение системы и отказ DVD-ROM (аппаратный или только в виндовс ???) на втором ноутбуке.
3. Аномалия с мышью. Но при этом в линуксе (на каком из ноутбуков ?) всё нормально.Дополнительные факторы:
1. В процессе доламывания была изготовлена лайв-флешка (на завирусованых машинах ? ага) и она тыкалась в обе, как я понимаю.
2. Попытка убить систему через дос и ещё что то оригинальное.Вопрос на засыпку:
Итак, при чём тут мышь ? Даже если предположить, что вирь перешил её ром, она функционирует в прежнем режиме под линукс.
Последнее редактирование: 8 авг 2012
более вероятно
мышь Х7 может, например, повышать частоту с 125 Гц до скольки-то там (вроде до 1000 Гц)
по идее это дело стандартно и ни чего опасно не несёт, но:
дело в том, что частое обновление курсора будет забивать в окнах очередь
причем старые игры могут попытаться рендериться на каждое сообщение мыши
то есть с частотой 1000 кадров в секунду – естественно это убьет производительность
но это скорее касается только “корявых” игркстати, эта настройка сохраняется мышкой (а может и нет) и может также разгонять USB и на других компах
pct
Регистрация:
25 окт 2009
Сообщения:
3.212
Напрашивается вывод – вирус в мыши с флеш памятью возможен, но маловероятно, что он создан специально для мыши.О борьбе с вирусами флешках сказано уже достаточно – запрещение авторана это комильфо. Архив с игрой наверняка не был привнесён из будущего зловредным Скайнетом, следовательно в базах антивирусов виновник быть должен.Топикстартер не может предоставить данные о заражённом файле, более того:
Как это не получается? С чего грузился? Способов множество – один из них подключить хард к чистому компу и проверитьвылечитьудалить всю заразу актуальным антивирусом.
Может стоит задать вопрос:”Что я делаю не так?”
Последнее редактирование: 9 авг 2012
Aydei
Регистрация:
8 окт 2011
Сообщения:
119
Пытался форматировать винт спец утилитой от WD родной с доса ну в итоге весь диск в бадах. Сканировал диск Comodo live usb он увидел вирус но удалить не смог. Мышь пока лежит, не рискую использовать.
Последнее редактирование: 9 авг 2012
Источник